タグ付けされた質問 「tpm」

2
エンドユーザーへのプロンプトなしでBitLockerを有効にする方法
すべてのオプションが設定され、回復キーがActive Directoryに格納されるように、グループポリシーでBitLockerとTPMの設定を構成しました。すべてのマシンでWindows 7を標準の企業イメージで実行しており、TPMチップが有効になっていてBIOSでアクティブになっています。 私の目標は、ユーザーがしなければならないすべてが[BitLockerを有効にする]をクリックするだけで済むようにすることです。マイクロソフトは、スクリプトを介して展開できる自動化サンプルも提供しています。しかし、これをスムーズなプロセスにするための小さな問題があります。 GUIでは、ユーザーがBitLockerを有効にすると、自動的に生成される所有者パスワードでTPMを初期化する必要があります。ただし、回復パスワードはユーザーに表示され、テキストファイルに保存するように求められます。このダイアログを抑制できないようで、ステップをスキップできません。キーがADに正常にバックアップされるため、これは不要な(そして不要な)プロンプトです。 展開をスクリプト化する場合、TPMを初期化するときにスクリプトで所有者パスワードを指定する必要があり、GUIのようにランダムに生成されるようにします。 BitLockerの展開を本当に希望どおりにゼロタッチする方法はありますか?

2
TPMを再初期化する必要がありました:新しい回復パスワードをADにアップロードする必要がありますか?
どういうわけか、ユーザーのマシンはTPMチップからビットロッカーパスワードを読み取ることができず、アクセスするために(ADに保存されている)回復キーを入力する必要がありました。回復ドキュメントごとにビットロッカーを一時停止しようとしましたが、TPMが初期化されていないというエラーメッセージが表示されました。TPMがオンになっていてBIOSでアクティブ化されていることはわかっていましたが、WindowsでTPMチップを再初期化しても、その過程で新しい TPM所有者パスワードが作成されました。 このパスワードを保存するか印刷するように促されたため(そうすることはできませんでした)、奇妙なことに気付きましたが、回復パスワードを参照せず、このパスワードをADまでバックアップしませんでした。 ユーザーがラップトップを持って出て行った後、TPMパスワードが変更された場合、回復パスワードも変更されるのではないかと考え始めました。その場合、その新しい回復パスワードをADにアップロードする必要がありますが、MSのドキュメントではそのことが明確にされておらず、グループポリシーで新しい回復キー(存在する場合)が自動的にADにバックアップされません。ネットワークの観点から、ADにアクセスできる必要があります。
8 bitlocker  tpm 
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.